El responsable del tratamiento de los datos debe decidir qué medidas implantar

Las nuevas obligaciones de los empresarios según el Reglamento Europeo de Protección de Datos

El Reglamento Europeo de Protección de datos está plagado de conceptos jurídicos indeterminados
La evaluación de riesgos es la media más importante que deben implementar las empresas para dar cumplimiento a la normativa en materia de protección de datos
Objetivo: 

La sesión se centrará en el examen de las principales novedades introducidas por el Reglamento europeo sobre la protección de datos de carácter personal. En particular, se realizará una referencia a la configuración de los principios y derechos, así como a las obligaciones derivadas del principio de responsabilidad activa.

Este pasado lunes 6 de noviembre tuvo lugar en la Facultad de Derecho de la Universidade da Coruña una nueva sesión de los Diálogos 2020. En esta ocasión, el tema tratado fue el de las nuevas obligaciones de los empresarios según el reglamento europeo de protección de datos, para el que se ha contado con la participación de Marcos Suárez López, profesor del Área de Derecho Civil de la UDC. 

El ponente comenzó su intervención señalando que ésta se iba a dividir en dos partes: la primera relativa a los principios aplicables al tratamiento de los datos y, la segunda a los derechos de los interesados, centrándose únicamente en aquellos que revisten novedad por estar recogidos en el Reglamento General de Protección de Datos (en adelante, RGPD), pero que no se contemplaban en la Ley de Protección de Datos de Carácter Personal (en adelante, LOPD). 

Respecto de los principios aplicables, el profesor indicó que están “establecidos en el artículo 5 del RGPD y que, en esencia, se corresponden con aquellos principios que informaban el tratamiento en la LOPD”. Estos principios son los de calidad, de consentimiento (antes denominado de licitud), de lealtad, de información (antes, de transparencia), de responsabilidad proactiva (antes, de seguridad) y de secreto.

Respecto del principio de calidad, tiene una triple manifestación. Y es que, como indicó el profesor, los “datos sólo pueden ser objeto de tratamiento para aquella finalidad para la que han sido recabados; deben recabarse los datos que sean estrictamente necesarios; y éstos deben ser veraces y correctos”.

El segundo de los principios, de licitud, ha pasado de pivotar sobre el consentimiento del interesado, y de ahí establecer unas determinadas excepciones, a hablarse de bases lícitas del consentimiento respecto de las que también se establecen una serie de excepciones que se corresponden con las contenidas en la LOPD. A propósito de este principio, López puso de relieve lo que considera que es una de las características del Reglamento: su inconcreción, afirmando que éste “se halla plagado de conceptos jurídicos indeterminados y de remisiones a las futuras legislaciones de los Estados miembros”.

De la misma manera, el ponente se hizo eco de una las críticas del Reglamento: que se haya optado por este instrumento jurídico en lugar de por una Directiva. Otra cuestión sobre la que llamó la atención el ponente es que, tanto el Reglamento como la LOPD extienden su ámbito de protección a las personas físicas, lo que planteaba dudas respecto de los datos de profesionales liberales. La Agencia Española de Protección de Datos suplió este vacío legal estableciendo que, si los datos procedían de una relación profesional, quedaban excluidos de la regulación establecida en la LOPD. Sin embargo, como señaló el profesor, en el Anteproyecto de la que será la nueva Ley de protección de datos, el régimen cambia ya que deja de estar excluido; no obstante, establece que no es necesario el consentimiento de los interesados. Así, en virtud del principio de licitud, señaló el ponente que “el consentimiento ha de ser inequívoco y que será el empresario quien deba probar que se prestó dicho consentimiento”. Además, en relación con el consentimiento, el profesor se refirió al consentimiento de los menores respecto del tratamiento de sus datos. En este punto, el Reglamento establece que los menores pueden consentir a partir de los 16 años, sin perjuicio de que los Estados miembros puedan bajarlo a 13. En España, el Reglamento que desarrolla la LOPD, fija dicha edad en 14. No obstante, el Anteproyecto de la Ley de protección de datos, se prevé que los menores podrán consentir a partir de los 13 años.

El siguiente de los principios objeto de análisis fue el de lealtad, respecto del cual el Reglamento no concreta en qué consiste. Sin embargo, por analogía a lo recogido en la LOPD, este deber se concretaría en que los datos deben ser recogidos de manera lícita. 

En cuanto al principio de transparencia, que se halla vinculado directamente con el principio de licitud, se resaltó que obliga al responsable del tratamiento a informar de dónde ha obtenido dichos datos. En cuanto a la forma en que debe practicarse dicha información hay un contenido mínimo común, con independencia del origen de los datos (aunque, dependiendo del origen, debe facilitarse contenido adicional); como consecuencia, la información a suministrar puede ser excesiva, por lo que se ha establecido un mecanismo de información por capas, pudiéndose encontrar un modelo en la web de la Agencia Española de Protección de Datos. 

A continuación, el profesor abordó la explicación relativa al principio de seguridad, del que reveló “es una manifestación concreta del principio de responsabilidad proactiva”. La aplicación de este principio supone que el responsable del tratamiento de los datos deberá adoptar las medidas de índole técnica y organizativa que sean necesarias para garantizar la seguridad de los datos, evitando así en la medida de lo posible su alteración, pérdida, o tratamiento no autorizado. En este aspecto, el ponente llamó la atención de las diferencias entre el régimen de la LOPD y el del RGPD: “El sistema ha cambiado, de manera que es el responsable del tratamiento quien debe analizar los riesgos, dependiendo de la naturaleza de los datos, para así decidir qué medidas deben implementarse”. Ello se debe a que en el Reglamento no existe un elenco tasado de medidas, sino que la lista que contiene tiene un carácter meramente orientativo. Así, será el responsable del tratamiento el que decida qué medidas se van a tomar en función del resultado de la evaluación de riesgos. Por otra parte, el RGPD contempla expresamente la obligación de notificar a la autoridad de control, como máximo, en las 72 horas siguientes a desde que se haya constatado la vulneración.

El último de los principios es el relativo a la responsabilidad proactiva, que supone un cambio de paradigma en el sistema de protección de datos. Ello se debe, como apuntó el profesor, a que “se pasa de un procedimiento de protección ex ante a otro que se va a producir ex post”. Será la autoridad de control la que, ante denuncia o investigación de oficio, entrará a valorar si se cumplen las medidas necesarias en materia de protección de datos. Así, será el responsable del tratamiento quien decida la aplicación de unas u otras dependiendo de los riesgos asumidos. No obstante, a efectos probatorios, el responsable del tratamiento tiene la posibilidad de acreditar el cumplimiento de los requisitos mediante la adhesión a los códigos de conducta o a través de mecanismos de certificación, a los que sólo se pueden acoger los organismos del sector privado. 

Así, el RGPD recoge una serie de medidas que deben ser aplicadas por los responsables del tratamiento de los datos. La primera es una evaluación de riesgos, ya que de esta evaluación se derivan las medidas que se van a aplicar. La segunda, el registro de las actividades del tratamiento; es decir, un libro diario donde se recogen los aspectos básicos del tratamiento; con carácter general, las empresas de menos de 250 trabajadores, están exentas de esta medida. La tercera es la protección desde el diseño y por defecto; por lo que se deben adoptar las medidas necesarias para actuar conforme al RGPD. A continuación, se encuentran las medidas de seguridad. En sexto lugar, las comunicaciones de los fallos de seguridad y, en séptimo y último la figura del delegado de protección de datos; y es que, los responsables que realicen tratamiento a gran escala, deben designar internamente un delegado que se encargue de supervisar el cumplimiento normativo.

Respecto a la segunda parte de la ponencia, referida a los derechos en materia de protección de datos, el profesor hizo especial hincapié en el derecho al olvido (o derecho de supresión, antes de cancelación). Para este derecho, expuso “el legislador recogió la jurisprudencia emanada por el Tribunal de Justicia de la Unión Europea a propósito del caso Google”. Indicando, además, la excepción oponible al ejercicio de este derecho, que sería la libertad de expresión e información.

Otro de los derechos es el derecho de limitación del tratamiento, donde el interesado no solicita la supresión, sino que éstos se conserven y se limite su uso.

Por último, está el derecho de portabilidad, que faculta al interesado a obtener los datos de un responsable de tratamiento y transmitirlo a otro. O, incluso, solicitar que un responsable de tratamiento lo transmita a otro responsable.

Una vez finalizado el turno de palabra del ponente, se abrió un coloquio donde la primera intervención tuvo como objetivo poner de relieve el cambio de paradigma en la protección de datos operado por el RGPD. Así, si el empresario tenía claro que cumplía con la legislación en esta manera con la inscripción de los ficheros, ahora nos encontramos con que esta medida ya no es necesaria, sino que debe elegir qué medidas considera necesarias para llevar a cabo una protección adecuada. 

También se solicitó del ponente que expresase cuál considera que es la medida más importante para dar cumplimiento a la legislación sobre protección de datos, a lo que se contestó que “la evaluación de riesgos, sin duda alguna”. Ello lo justificó en el hecho de que de la evaluación de riesgos va a depender directamente la adopción de unas medidas u otras, por lo que la considera fundamental. Esta evaluación será revisable únicamente si hay cambios en el tratamiento de datos, ya que el Reglamento no obliga a una revisión periódica obligatoria.

Otra de las cuestiones suscitadas fue acerca de las medidas de seguridad, uno de los aspectos claves del RGPD para el ponente. No obstante, la regulación contenida en el Reglamento, por un lado da mucha libertad en el establecimiento de estas medidas pero, por otro lado crea inseguridad jurídica al no concretar específicamente qué medidas son exigibles.

Finalizado el turno de preguntas, el Director de la Cátedra tomó de nuevo la palabra para agradecer su asistencia a los allí presentes, así como para dar por finalizado el acto.

Noelia Collado-Rodríguez
Miembro del Grupo de Investigación de la UDC “Empresa, Consumo y Derecho”